Hälso- och sjukvårdsförvaltningen Ärendenr HSN 2012/354 Handlingstyp Policy Datum Antagen 17 september 2012 HSN § 232 Informationssäkerhetspolicy Information är en viktig resurs inom hälso- och sjukvården i Region Gotland. Alla verksamheter är beroende av tillförlitlig information för att uppnå sina mål. Mängden information som utbyts inom organisationen och mellan hälsooch sjukvårdförvaltningen och andra organisationer och allmänheten är stor och behöver skyddas. Allmänheten ska ha förtroende för verksamheten och dess sätt att skydda informationen från avsiktliga eller oavsiktliga störningar. Information som rör enskilda personers sociala, medicinska och andra personliga förhållanden måste skyddas mot oönskad förändring, förlust eller avslöjande. Allt mer komplexa system möjliggör effektivisering av verksamheter och förbättrad service. Beroendet av informationssystem innebär dock ökad sårbarhet. Det är därför nödvändigt att utifrån verksamheten ställa krav på säkerhetslösningar i samband med upphandling, utveckling, användning och avveckling av informationssystem och att fortlöpande kontrollera att kraven uppfylls. Omfattning Informationssäkerhetspolicyn beskriver de övergripande principerna för informationssäkerhet. Policyn gäller all information, i alla dess former, som hanteras inom eller på uppdrag av hälso- och sjukvårdsförvaltningen i Region Gotland. Hantering av information som görs av externa parter regleras genom avtal. Policyn antas av hälso- och sjukvårdsnämnden i Region Gotland. Definition av informationssäkerhet Informationssäkerhet är den samlade effekten av organisatoriska, administrativa och tekniska åtgärder för att skydda information mot de hot den kan utsättas för. Informationen ska skyddas utifrån krav på sekretess, riktighet, tillgänglighet och spårbarhet. Besöksadress Visborgsallén 19 E-post [email protected] Postadress 621 81 Visby Webbplats www.gotland.se Telefon 0498-26 90 00 vxl Org nr 212000-0803 1 (3) Hälso- och sjukvårdsförvaltningen Ärendenr HSN 2012/354 Region Gotland Skyddsområden • Tillgänglighet innebär skydd mot störningar som avsiktligt eller oavsiktligt leder till att behörig åtkomst till information enligt verksamhetens och allmänhetens krav inte kan tillgodoses. • Riktighet innebär skydd mot obehörig påverkan eller förändring. Informationen ska hålla hög kvalitet och vara väl skyddad för påverkan av obehörig. Förlorad eller skadad information ska kunna återställas eller återskapas enligt verksamhetens krav på bibehållen kvalitet. • Sekretess innebär skydd mot att information, och ibland även dess existens, görs tillgänglig eller avslöjas för obehöriga. • Spårbarhet innebär att åtgärder i informationssystem dokumenteras på ett sådant sätt att analys och uppföljningar kan göras. Åtgärderna ska kunna spåras till en identifierad användare. Skyddsåtgärder Hälso- och sjukvårdförvaltningen ska genomföra organisatoriska, administrativa och tekniska skyddsåtgärder för ovan nämnda skyddsområden. Skyddsåtgärderna ska vara dokumenterade så att det är möjligt att kontrollera att nödvändig skyddsnivå uppnås. Region Gotland använder en 3-gradig skala för att säkerhetsklassificera information. Val av skyddsåtgärd ska vara baserad på informationens betydelse och de konsekvenser som bristande säkerhet kan medföra. Lagar och förordningars krav ska utgöra lägsta nivå vid bedömning av skyddsåtgärder. Med stöd av Socialstyrelsens föreskrifter SOSFS 2011:8 görs undantag från kraven vid överföring till patienter av påminnelser och kallelser via SMS och epost i öppna nät. Undantaget gäller förutsatt att beslutet om överföring i öppna nät har föregåtts av en behovs- och riskanalys, att patienten har givit sitt medgivande och att överföringen inte avslöjar detaljer om patientens hälsotillstånd eller andra personliga förhållanden. Ansvar Hälso- och sjukvårdsnämnden ansvarar ytterst för de frågor som rör hälso- och sjukvårdsförvaltningens informationssäkerhet. Nämnden ansvarar för att informationssäkerhetspolicy och riktlinjer för informationssäkerhet utarbetas och hålls aktuella. 2 (3) Hälso- och sjukvårdsförvaltningen Ärendenr HSN 2012/354 Region Gotland Ansvaret för informationssäkerhet är kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet också är ansvarig för informationssäkerheten inom den verksamheten. Varje anställd ansvarar för att hantera och skydda information enligt uppsatta säkerhetsregler och att rapportera misstänkta brister i informationssäkerheten enligt riktlinje för avvikelsehantering inom hälso- och sjukvårdsförvaltningen. Syfte Arbetet med informationssäkerhet ska leda till att: • den personliga integriteten skyddas enligt gällande lagstiftning. • medborgarnas lagliga rätt till insyn i verksamheten upprätthålls. • hot och risker elimineras/minimeras. • god tillgänglighet till information säkerställs. Uppföljning och revidering Uppföljning och revidering av policyn ska ske regelbundet, minst en gång per mandatperiod. Relaterade dokument Informationssäkerhetsarbetet inom hälso- och sjukvårdsförvaltningen påverkas bland annat av följande lagar: • • • • • • Personuppgiftslagen (SFS 1998:204) Patientdatalagen (SFS 2008:355) Offentlighets- och sekretesslagen (SFS 2009:400) Tryckfrihetsförordningen (SFS 1949:105) Yttrandefrihetsgrundlagen (SFS 1991:1469) Arkivlagen (SFS 1990:782) Informationssäkerhetsarbetet påverkas också av följande styrdokument inom Region Gotland: • • • • Policy för säkerhets- och trygghetsarbete i Region Gotland Riktlinjer för informationssäkerhet i Region Gotland Netikett – IT- och teleriktlinjer för anställda i Gotlands kommun Riktlinje för avvikelsehantering inom hälso- och sjukvårdsförvaltningen Informationssäkerhetspolicyn ska göras konkret i riktlinjer, anvisningar och instruktioner. Dokumenten ska i den mån det är möjligt utformas och ordnas enligt vedertagen svensk standard för informationssäkerhet (SS-ISO/IEC 27000). 3 (3)